mercredi 27 janvier 2010
Informatique et Libertés
Par Alice, mercredi 27 janvier 2010 à 22:54 :: 2010
Journée de formation aux obligations imposées par la CNIL, ou comment ré-inventer la bureaucratie au fur à mesure que le monde se dématérialise.
Les principes sont simples et sains: une entreprise ne doit demander que ce qui lui est utile pour son commerce (inutile de vous demander votre carte grise pour assurer votre maison, votre diplôme de bac pour vous faire un crédit consommation), elle doit détruire ces données à l'issue du délai de prescription (c'est quelque chose qu'elle ne fait pas, qu'elle sait mal faire, qu'elle n'a pas envie de faire), et toute personne doit avoir accès aux données la concernant.
Pour éviter des écarts de langage regrettables, des notations étranges, une entreprise doit conserver à l'esprit que n'importe quel dossier pourra être lu par son client ou par la CNIL: il faut rester correct en toutes circonstances et ne pas se défouler dans les zones de texte libre des logiciels de GRC (gestion de la relation clients) ni laisser traîner des post-its désagréables dans les dossiers papier. (C'est un peu plus subtil que ça: interdit par exemple d'écrire dans un dossier de prospection téléphonique: "ne pas rappeler, cancer en stade terminal", mais écrire simplement: "ne pas rappeler, raisons médicales" (cela pour respecter le secret médical). Une formation n'est donc pas inutile, le bon sens n'étant pas toujours suffisant à garantir la bonne application de la loi.)
Les principes sont donc assez simples et logiques, une fois qu'on a attiré votre attention sur les points délicats.
A partir de là, une organisation tentaculaire a été mise en place. Les données étant le plus souvent traitées par informatique, les entreprises sont censées décrire tout nouveau traitement pour l'envoyer à la CNIL (ce qui fait de la CNIL une gigantesque chambre d'enregistement des systèmes informatiques de la France entière, j'espère que leurs salles d'archives sont bien protégées). La CNIL s'étant aperçu du monstre de paperasse qui risquait de l'engloutir a autorisé les (grandes?) entreprises à conserver ces dossiers dûment complétés chez elles, auprès d'un CIL (correspondant Informatique et Libertés), lui-même régnant sur des CRILs (correspondants relais informatique et libertés désignés au sein de chaque entité, direction ou filiale)1
Bref, il s'agit de ce que je déteste le plus: un boulot administratif très lourd, inutile pour le fonctionnement "réel" de l'entreprise et qui pénalise les entreprises de bonne foi, sachant que celles qui contreviennent à la loi sauront parfaitement le cacher.
Note
1 : On se demande pourquoi la mise à disposition sur simple demande du cahier des charges et des SFD (spécifications fonctionnelles détaillées) de tout traitement informatique n'est pas suffisante.
Les principes sont simples et sains: une entreprise ne doit demander que ce qui lui est utile pour son commerce (inutile de vous demander votre carte grise pour assurer votre maison, votre diplôme de bac pour vous faire un crédit consommation), elle doit détruire ces données à l'issue du délai de prescription (c'est quelque chose qu'elle ne fait pas, qu'elle sait mal faire, qu'elle n'a pas envie de faire), et toute personne doit avoir accès aux données la concernant.
Pour éviter des écarts de langage regrettables, des notations étranges, une entreprise doit conserver à l'esprit que n'importe quel dossier pourra être lu par son client ou par la CNIL: il faut rester correct en toutes circonstances et ne pas se défouler dans les zones de texte libre des logiciels de GRC (gestion de la relation clients) ni laisser traîner des post-its désagréables dans les dossiers papier. (C'est un peu plus subtil que ça: interdit par exemple d'écrire dans un dossier de prospection téléphonique: "ne pas rappeler, cancer en stade terminal", mais écrire simplement: "ne pas rappeler, raisons médicales" (cela pour respecter le secret médical). Une formation n'est donc pas inutile, le bon sens n'étant pas toujours suffisant à garantir la bonne application de la loi.)
Les principes sont donc assez simples et logiques, une fois qu'on a attiré votre attention sur les points délicats.
A partir de là, une organisation tentaculaire a été mise en place. Les données étant le plus souvent traitées par informatique, les entreprises sont censées décrire tout nouveau traitement pour l'envoyer à la CNIL (ce qui fait de la CNIL une gigantesque chambre d'enregistement des systèmes informatiques de la France entière, j'espère que leurs salles d'archives sont bien protégées). La CNIL s'étant aperçu du monstre de paperasse qui risquait de l'engloutir a autorisé les (grandes?) entreprises à conserver ces dossiers dûment complétés chez elles, auprès d'un CIL (correspondant Informatique et Libertés), lui-même régnant sur des CRILs (correspondants relais informatique et libertés désignés au sein de chaque entité, direction ou filiale)1
Bref, il s'agit de ce que je déteste le plus: un boulot administratif très lourd, inutile pour le fonctionnement "réel" de l'entreprise et qui pénalise les entreprises de bonne foi, sachant que celles qui contreviennent à la loi sauront parfaitement le cacher.
Note
1 : On se demande pourquoi la mise à disposition sur simple demande du cahier des charges et des SFD (spécifications fonctionnelles détaillées) de tout traitement informatique n'est pas suffisante.